Sicurezza Informazioni

Definizione e gestione del Sistema
ISO 27001:2017

Sistema di Gestione

1. Definizione contesto di Rischio

Consente la configurazione delle attività e delle iniziative di business, e gli elementi tecnologici e infrastrutturali che le supportano, che saranno incluse nella gestione del Rischio, il contesto in cui l'organizzazione opera, i bisogni e le aspettative delle parti interessate.

2. Identificazione, Valutazione e Trattamento dei Rischi

Il Modello gerarchico degli asset, è strutturato per funzione e per layout consente la rappresentazione di strutture complesse sfruttando la propagazione delle minacce e delle contromisure (controlli). Definizione e applicazione dei Criteri di valutazione del Rischio, identificazione dei Rischi associati alla perdita di Riservatezza (R), di Integrità (I) e di Disponibilità (D) delle informazioni, identificazione dei Responsabili del Rischio, Analisi dei Rischi, determinazione dei Livelli di Rischi, comparazione dei risultati dell’Analisi del Rischio con i Criteri del Rischio stabiliti, priorità dei Rischi per le Azioni di Trattamento. Piano di trattamento dei Rischi; è input al riesame.

3. Obiettivi

Consente di gestire l'intero ciclo di gestione degli obiettivi dalla definizione del programma, l'analisi fattibilità del singolo obiettivo, l'assegnazione e gestione delle attività, la frequenza e la relativa responsabilità, lo scadenzario con segnalazione di preavviso e allerta, l'upload della documentazione, la chiusura e il consuntivo, è input al Riesame. Consente di gestire Work Flow approvativi e informativi.

4. Controlli Operativi

Identificazione e aggiornamento Obiettivi di Controllo e Controlli sulla base dell’Appendice A della norma, Mappa Obiettivi di Controllo e Controlli, Gestione NC. Consente di gestire Work Flow approvativi e informativi.

5. Dichiarazione di Applicabilità

Consente l’elaborazione, sulla base di Check list, del Documento di Applicabilità relativo ai Controlli e agli Obiettivi di controllo specificati nell’Appendice A l’applicazione.

6. Investigazione Eventi Quasi-Eventi, Gestione NC

Consente la gestione dell'intero ciclo di gestione integrata eventi e nearmisses (HSEQ, Energia, Sicurezza Informazioni etc) dalla segnalazione e validazione, l'upload della documentazione, la gestione del trattamento immediato, la classificazione delle NC, l'analisi cause alla radice, la pianificazione e gestione AC/AP, la chiusura e il consuntivo, l'input al Riesame. Consente di gestire Work Flow approvativi e informativi.

7. Audit

Consente la gestione dell’intero processo di audit dalla definizione del programma annuale degli audit nei diversi ambiti, qualità, ambiente, salute e sicurezza, energia, etc., alla generazione dei singoli piani per la definizione dell’agenda delle attività e i punti della norma che verranno indagati, alla rilevazione mediante check-list appropriate, durante l’effettuazione, delle evidenze oggettive, alla redazione del report delle risultanze e all’elenco delle NC/OSS e relative AC/AP. L’integrazione è attuata con il flusso di gestione delle NC/OSS e delle AC/AP e con il Riesame e con il data base Risorse Umane per quanto riguarda i ruoli, mansioni, titoli di legge e per l’anagrafica.

8. Business Impact Analysis (BIA)

Definisce le priorità e i requisiti di Business Continuity, il processo di analisi delle attività e degli effetti che un'interruzione potrebbe avere su di esse e consente di stabilire le priorità per il recupero dei processi critici mediante la definizione del Maximum Tolerable Period of Disruption (MTPD). L'Analisi delle Minacce, invece, promuove la comprensione dei rischi relativi ai processi critici, delle loro dipendenze e delle potenziali conseguenze in caso di interruzione. Queste attività costituiscono la base su cui vengono definiti - in fase di progettazione - i Recovery Time Objective (RTO) e i Recovery Point Objective (RPO), e su cui vengono selezionate le strategie e le tattiche di continuità operativa e le misure di mitigazione delle minacce.

9. Riesame

Identificazione e valutazione indicatori di efficacia ed efficienza dei controlli, quadro di efficacia del sistema di gestione.

 

Normativa

 

Privacy

(Regolamento Europeo Privacy          GDPR UE 679/2016)

In KRC® vengono identificate i trattamenti dei dati, le misure tecniche di prevenzione e i controlli, gli uffici preposti e gli incaricati dei trattamenti. Viene analizzato e valutato il Rischio (PIA), il Rischio residuo e le azioni di trattamento. Viene generata l’informativa, e il registro dei trattamenti. Viene gestito il diritto all’oblio.

 

Integrazione

Flussi e Aree Integrate

processi di Audit, Obiettivi, Controlli Operativi, Gestione eventi e Non Conformità e Riesame sono gestiti in flussi integrati per i diversi Sistemi di Gestione: Ambiente, Salute e Sicurezza, Qualità, Energia, Privacy, Sicurezza Informazioni, Anticorruzione, Responsabilità Sociale.

Area Risorse Umane

  • Gestione Schede Anagrafiche: consente di gestire l'integrazione tra il Database HR aziendale e il Database HR di KRC. Consente di produrre le schede anagrafiche: associa la mansione, le qualifiche e i titoli di legge e aziendali; compone il libretto formativo dal flusso di formazione, la scheda di valutazione dei rischi dal flusso di valutazione del rischio, il protocollo sanitario dal flusso di sorveglianza sanitaria, i DPI per mansione e distribuiti dal flusso dei DPI.
  • Organigrammi: consente di produrre l'organigramma Aziendale e di legge.
  • Ruoli e Responsabilità: consente di produrre le Job Description per quanto riguarda attività e responsabilità dal flusso di Gestione delle Procedure e delle Istruzioni.

Flusso Norme e Leggi
per la Gestione delle Prescrizioni Legali

Consente di produrre il quadro normativo, la sistematizzazione delle prescrizioni contenute nei provvedimenti e valutare la conformità legislativa individuando modalità di verifica e controllo e responsabili. Genera lo scadenzario normativo con invio delle notifiche di prescrizioni ai responsabili. Nelle schede di rischio e degli aspetti ambientali saranno visualizzate le norme e leggi e le prescrizioni relativi all’elemento di rischio.

Servizio di aggiornamento Norme e Leggi

KEISDATA eroga la fornitura con aggiornamento quindicinale delle norme e leggi caratterizzate per Ambito, Tematica, Sottotematica, Argomento ed Elemento di rischio con relativo upload del documento legislativo. Genera lo scadenzario normativo con invio delle notifiche ai responsabili.

Flusso Gestione autorizzazioni

Consente di gestire l'autorizzazione dall'individuazione, all'assegnazione di responsabilità. Crea il quadro autorizzativo, consente di gestire le relative attività e crea il registro delle autorizzazioni. Genera lo scadenzario con segnalazione di preavviso e registrazione dell'avvenuto assolvimento con upload della documentazione.